El troyano Ramnit evoluciona y resurge atacando de nuevo objetivos bancarios
Os vamos a hablar de un código malicioso que a lo largo de los últimos años afectó a un buen número de usuarios en todo el mundo pero que el pasado mes de febrero de 2015 fue «vencido», pues bien, acaba de resurgir su segunda versión centrándose en las entidades bancarias.
Es por ello que diversos expertos en seguridad han dado a conocer la reactivación del conocido código malicioso Ramnit, ya que se han detectado varios ataques coordinados para la propagación de su última versión tomando en gran medida como principales objetivos la mayoría de las sedes bancarias del Reino Unido.
Como algunos ya sabréis, Ramnit apareció en el pasado año 2010, aunque en un principio se trataba tan sólo un pequeño troyano no demasiado peligroso. Sin embargo esto cambió en podo tiempo y pasó a convertirse en una peligrosa amenaza en 2011 cuando los investigadores de seguridad observaron que sus desarrolladores agregaron al troyano capacidades habituales de otros códigos maliciosos bancarios, en concreto se detectaron partes del código fuente del troyano bancario Zeus.
Con el paso del tiempo este siguió evolucionando hasta que llegó a 2014, fecha en la que el mencionado malware se convirtió en el cuarto troyano bancario más activo del mundo. Esto se logró debido en gran medida al apoyo de una enorme red de bots para PC que se encargaron de infectar usuarios a lo largo del globo por medio de correos electrónicos no deseados. De este modo se llevaron a cabo todo tipo de actividades ilegales de manera modular y por medo de una estructura muy versátil, todo ello con el fin de infectar al mayor número de equipos posible.
Todo este éxito llamó poderosamente la atención de diversas fuerzas del orden, por lo que en febrero de 2015 gran parte de os servidores de Ramnit C & C fueron «paralizados» en un intento de acabar con la red de bots; pero las cosas no salieron como esperaban. De hecho recientemente se ha detectado, como os comentábamos anteriormente, la segunda versión de Ramnit que por el momento se centra en el Reino Unido, aunque sus ataques lentamente se han ido extendiendo a los bancos de otros países como Canadá, Australia, EE.UU. o Finlandia.
Aunque esta versión 2.0 se centra en los bancos del Reino Unido, parece estar preparada para su distribución generalizada en todo el mundo gracias a las nuevas características que implementa. Sin embargo han informado de que su módulo encargado de inyectar código malicioso en el navegador de la víctima sigue siendo el mismo, así como su módulo VNC para la filtración de datos y su componente escáner para identificar la información que vale la pena robar. El mayor cambio se ha detectado en la parte de la configuración donde se han añadido nuevos esquemas de ataque en tiempo real dirigidos a sesiones de banca on-line. Además se apunta a que no todos los ataques se llevarán a cabo desde el dispositivo de la víctima, ya que los operadores de Ramnit también pueden recopilar las credenciales de los usuarios afectados y utilizarlos para cometer fraude posteriormente.
Debido a que esta segunda versión está llegando a su fase final, posiblemente Ramnit alcance los niveles de 2014 y amplíe la lista de objetivos a más países, esperaremos a ver su alcance en las próximas semanas.